Уразливості на myspace.com
20:45 19.04.200708.04.2007
Вчора, 07.04.2007, я знайшов Cross-Site Scripting (XSRF + XSS) уразливості на популярному порталі http://myspace.com. Про що найближчим часом сповіщу адміністрацію порталу.
Також учора я вислав деталі про ці уразливості організаторам проекту Місяць багів в MySpace. Тому, у проекта MOMB з’явилися нові кандидати в баги Майспейса . Таким чином я вніс свій внесок в дану акцію.
Детальна інформація про уразливості з’явиться пізніше.
19.04.2007
XSS:
POST запит в полях Password та Confirm Password на сторінці http://signup.myspace.com/index.cfm?fuseaction=comedianJoin:
"><script>alert(document.cookie)</script>
Дані уразливість досі не виправлені.
Для цих уразливостей я також приготував PoC/Exploit: MySpace_XSS_exploit
Також інформація про дану уразливість була оприлюднена на вісімнадцятий день Місяця багів в MySpace. Організаторам даної акції я раніше вислав деталі про дані дірки.